El TS establece que las direcciones IP de los usuarios de Internet deben ser consideradas como datos personales, pues contienen información concerniente a personas físicas «identificadas o identificables», por lo que, como tales, se encuentran protegidos por las garantías establecidas por la LOPD para su tratamiento. Además, no gozan de las características necesarias para obtener de la AEPD la exención del deber de información al interesado del tratamiento de sus datos, cuando resulte imposible o exija esfuerzos desproporcionados, previsto en el artículo 5.5 de la misma.
La Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo ha dictado una sentencia de fecha 3 de octubre de 2014 (recurso número 6153/2011), por la que establece una interesante doctrina sobre la consideración de la claves IP, a efectos de la protección de datos de carácter personal.
La sentencia estima, con base en la STJUE de sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Al no producirse la imposibilidad de informar a los intersados del tratamiento de sus direcciones IP, ni exigir dicho trámite un esfuerzo desproporcionado al obligado al mismo, no concurren los motivos exigidos para aplicar la exención del deber de informar al interesado del tratamiento de sus datos.
Además, no cabe presumir, de forma segura e indudable, tal como exige el artículo 6 de la LOPD que los interesados han otorgado su consentimiento para el tratamiento de sus datos por el hecho de conectarse a una red P2P.
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente. Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Igualmente la sentencia señala que los 138.3, 139.1 h) y 141.6 de la Ley de Propiedad Intelectual (RDLegislativo 1/1996), no contienen ninguna habilitación, ni referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales. Pues, «Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE.»
Además, resuelve que, de acuedo con la STJU … «no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público.»
Si bien matiza que «sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet.»
Por último, la Sala determina que «que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.»
Los hechos
La parte recurrente presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales.
La AEPD acordón no autorizar dicha exención y la la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo interpuesto contra dicha decisión, contra la que se ha interpuesto recurso de casación.
Seguir leyendo